Problema com "bypassing" ocorre devido à rota padrão na caixa VPN. Qual é necessário e não pode ser excluído e o encaminhamento de ip ainda está habilitado. Trabalho de encaminhamento de IP com base na interface, não no endereço IP
Seu VPN box está em ip 192.168.10.14 e você pode adicionar a regra ufw da inserção, que será acionada quando o túnel estiver inativo.
Adicione em /etc/network/if-down.d/ algum script para cortar o acesso dos clientes ao seu VPN box
Exemplo:
sudo nano /etc/network/if-down.d/scriptdown
e coloque o conteúdo
# Check for specific interface if desired
[ "$IFACE" != "tun1" ] || exit 0
# cat access from client
sudo ufw insert 1 deny in on eth0 from 192.168.10.0/24 to 192.186.10.14
atribua scriptdown privilégio
chmod 755 /etc/network/if-down.d/scriptdown
if-down.d acionará o script chamado scriptdown quando tun1 ir down e negará o tráfego de 192.168.10.0/24 a 192.168.10.14
Você precisa de um script para excluir essa regra quando tun1 estiver em alta
Adicione o script /etc/network/if-up.d/ para permitir o acesso de clientes ao seu VPN box
sudo nano /etc/network/if-up.d/scriptup
e coloque o conteúdo
# Check for specific interface if desired
[ "$IFACE" != "tun1" ] || exit 0
# cat access from client
sudo ufw delete 1
atribua scriptup privilégio
chmod 755 /etc/network/if-down.d/scriptup
if-up.d acionará o script chamado scriptup quando tun1 ir up e permitirá o tráfego de 192.168.10.0/24 a 192.168.10.14
Tente.